“In de toekomst functioneert de auditor meer in netwerken”

Sinds 1 juni is Peter Hartog de manager Vaktechniek binnen IIA Nederland.  Een nieuwe functie, een nieuw geluid? Audit Magazine vroeg het hem.

Wat houdt deze functie in?

“Het fijne is dat de functie geen vastomlijnde kaders heeft en dat ik de ruimte heb om te ontdekken hoe we het best invulling aan de functie kunnen geven. Daar ben ik momenteel druk mee bezig. We zijn een vereniging en we stimuleren kennisontwikkeling en kennisdeling van en voor de leden. Veel van wat we doen als IIA en met de diverse commissies heeft een vaktechnisch aspect. De commissie Professional Practices (CPP) richt zich primair op de vaktechniek, daar werk ik dus nauw mee samen.

Hoe ziet u zichzelf?

“Ik zie mezelf als iemand die onderzoeken, visies en ontwikkelingen binnen ons vakgebied beschouwt en deze duidt. Met andere woorden, inzicht geven in de betekenis van ontwikkelingen binnen ons vakgebied, inclusief handvatten en voor- en nadelen voor het vak van internal auditor. Zo was ik laatst bij het seminar van de Young Professionals over het auditen van cultuur en gedrag met bijdragen van experts van KPMG, ACS en DNB. De inzichten die hieruit volgden heb ik vervolgens gekoppeld aan hetgeen corporate antropologe Danielle Braun hierover zei in haar masterclass en aan de inzichten uit de round table van CAE’s over cultuur en gedrag. Mijn toegevoegde waarde zit in het duiden van de overeenkomsten en verschillen van deze verschillende aanvliegroutes om cultuur en gedrag te benaderen.”

Wat zijn de kaders van uw functie?

“Het bestuur geeft mij de vrijheid om zelf invulling te geven aan mijn rol. Tegelijkertijd geeft het bestuur al een bepaalde inhoudelijke richting aan mijn functie, omdat zij de strategie van de vereniging en daarnaast de onderwerpen bepalen om het IIA op de kaart te zetten en te houden. Het is een fulltime functie waarbij ik samenwerk met de CPP en met allerlei mensen binnen het IIA. Ik ben de postbus binnen het IIA voor vaktechnische vragen over bijvoorbeeld de standaarden en implementatierichtlijnen en daarnaast houd ik mij bezig met nieuwe ontwikkelingen binnen het vakgebied door ze zelf in gang te zetten, te doen of te begeleiden. Ik zit in het CPP en samen bepalen we welke onderzoeken opgepakt gaan worden. We werken daarin samen met onze partners, universiteiten, studenten en bedrijven.”

Wat merken de IIA-leden van de komst van een vaktechnisch manager?

“Er komen meer berichten aan de leden. Dit zijn berichten met als doel duiding te geven aan rapporten van beroepsverenigingen, toezichthouders en bedrijven, die ons vakgebied raken. Ik doe dit allemaal niet alleen. Veel van de berichten stel ik op samen met de collega’s van het IIA-bureau. Verder volgen meer onderzoeken die handvatten zullen bieden voor onze leden. Er speelt momenteel ontzettend veel. Risk in focus is een belangrijk rapport dat net is uitgekomen en onze leden handvatten biedt voor de auditjaarplanning. Ook is inmiddels een update verschenen van het Internal Audit Ambition Model.”

“Je kunt je afvragen of we als auditors nog steeds op de goede manier naar de goede dingen kijken”

Wat was uw eerste wapenfeit?

“Een van mijn allereerste wapenfeiten als manager vaktechniek was het updaten van een richtsnoer van het TKT (het toezichtsorgaan kwaliteitstoetsingen). Deze is ontwikkeld om meer richting te geven aan het komen tot een oordeel in de externe kwaliteitstoetsing van de auditfuncties. De input van toetsende organisaties is daarin meegenomen. Dit document is samen met Linda Poort en Hans Nieuwlands van het IIA-bureau tot stand gekomen.”

Welke onderzoeken kunnen we verwachten?

“Het IIA zegt dat de internal auditfunctie assurance, insight en advies geeft. Assurance en advies zijn vrij helder voor iedereen, hieraan is ook nader invulling gegeven in de Standards. Wat insight betekent is nergens gedefinieerd. Ik wil verder duiden wat we bedoelen met insight. En met name hoe we waarde kunnen toevoegen door het geven van insight. Een ander onderzoek wat ik wil oppakken heeft betrekking op innovatie, een belangrijke topic voor het bestuur. Eerst door te inventariseren wat we moeten verstaan onder innovatie en hoe dat vorm kan worden gegeven. De inventarisatie zal leiden tot een aantal onderwerpen die ik verder ga uitwerken.”

Werkt u ook samen met andere beroepsgroepen?

“Met NBA/LIO werken we actief samen. Met hen stellen we bijvoorbeeld een 90-minutenpitch op om aan studenten binnen die tijd te vertellen wat het vak inhoudt. Verder heb ik gesprekken gehad met NOREA maar doen we met hen concreet nog te weinig. Dit is wellicht opvallend want het belang van IT wordt steeds belangrijker. De intentie is er zeker om samen te werken. Wel werken we al samen met het ISACA. We hebben hen meegeholpen om hun congres te organiseren. En we werken Europees samen in de European Institute Research Group. Dit is een groep van IIA’s uit zeven landen (waaronder IIA Nederland) die samen onderzoek doen. We wisselen uit waar we mee bezig zijn en hebben net gezamenlijk het rapport Risk in focus uitgebracht.”

Is de auditor voldoende voorbereid op complexe technologie?

“Ik vraag het mij af. Dat zal zeker niet zo zijn voor de gehele beroepsgroep. Innovaties gaan steeds sneller en dat heeft impact op de beheersing van organisaties en dus ook op de manier van auditen. Je kunt je afvragen of we als auditors nog steeds op de goede manier naar de goede dingen kijken. Zijn de traditionele opvattingen van goede governance, risk en control processen nog wel passend? Met andere woorden, kijken we nog wel met een goed normenkader? Agile werken gaat bijvoorbeeld vaak samen met besluitvorming op een lager niveau in de organisatie. Dit heeft impact op risicobeheersing en governance. En het heeft ook consequenties voor de auditor op het gebied van zowel kennis als vaardigheden. Minder dingen staan op papier, auditbewijs zal vaker op basis van interviews en observaties verzameld dienen te worden.”

Hoe belangrijk is het hebben van IT-kennis voor de auditor?

“Je moet basiskennis van IT hebben. Je hoeft niet allemaal IT-auditor te worden, je kunt IT-processen ook vanuit een operational audit benaderen. Maar als het gaat om specifieke technische kennis en bijvoorbeeld kennis op het gebied van hacking, dan schiet je kennis als auditor al snel te kort. De technologie ontwikkelt zich razendsnel, dus de vraag is of je deze kennis zelf moet hebben of dat het efficiënter is om gebruik te maken van kennis van derden. Ik zie de auditor in de toekomst meer in netwerken functioneren omdat het belangrijker wordt om te beschikken over kennis die steeds specialistischer is. Daarnaast is er meer behoefte aan assurance over de keten of het netwerk, waardoor het nodig is samen te werken met partners buiten de eigen organisatie.”

“Innovaties gaan steeds sneller en dat heeft impact op de beheersing van organisaties en dus ook op de manier van auditen”

Hoe ziet het vakgebied er over tien jaar uit?

“Het leuke én vervelende is dat dé auditfunctie niet bestaat. Je kunt de auditor zien als iemand die assurance geeft door het geven van een oordeel, maar je kunt de auditor ook zien als iemand die verbeteringen initieert. Er zijn binnen Nederland auditfuncties die relatief sterk ‘georiënteerd zijn’ op de RvC en daarmee relatief sterk een toezichthoudende rol hebben, en auditfuncties die vooral een ondersteunende rol hebben voor de RvB en het management. Het is mogelijk dat enkele IAF’s, mede door de diverse schandalen, opschuiven naar een versterkte rapportagelijn aan de RvC. Tegelijkertijd zie ik in het vakgebied, sterk gestimuleerd vanuit IIA Global, veel aandacht voor het vergroten van onze toegevoegde waarde, ook in relatie tot de strategische risico’s van de organisatie.”

Doen we ertoe?

“Ik zou het mooi vinden als de auditfunctie tegen die tijd een meer geaccepteerde, ‘natuurlijke’ functie is dan het nu is. Ondanks dat we nu genoemd worden in de Corporate Governance Code zijn we er nog lang niet. Ik sprak een advocaat die zei dat je er pas toe doet als er in het geval van een schandaal met de vinger naar je wordt gewezen. Nu wordt in de publiciteit de vinger vaak direct gewezen naar de extern accountant, maar niemand lijkt zich af te vragen waar internal audit was. We zijn nu zover dat het nut en de noodzaak breed worden erkend, maar daarmee zijn we nog geen vanzelfsprekendheid.”